« 2005年11月 | メイン | 2006年1月 »

2005年12月29日

2005年12月29日 AU試験午後Iと午後IIとの対応について

AU午後I対策 その2.0 =午後Iと午後IIの戦術=

Mr.自信ゼロさんからの質問を感じたこと。
この解説の前提条件

 この回答は、 自信ゼロさんの掲示板意見からヒントを受けて作られています。

この記述の要旨
 

この記述の要旨は次のとおりです。

        
  • 1.午後Iと午後IIのシステム監査基準への準拠度合い→ どの程度、準拠できれば合格するのか
  •   
  • 2.午後Iと午後IIの戦い方の基本→ どこを見て記述、論述の態度を決めているのか
午後Iと午後IIの試験特性
午後Iの試験特性

 午後I試験はどちらかというと、次のような試験上の意味合いを持って います。

        
  • 1.小論文を読むための枚数を減らして合格者の3倍程度に受験者を絞り込みたい
  •   
  • 2.システム監査の手続きの概要や基本的行動様式を理解しているかを考査したい
  •   
  • 3.事例に沿って、適切な監査を行う能力があるか考査したい
午後IIの試験特性

 午後II試験はどちらかというと、次のような試験上の意味合いを持って います。

        
  • 1.システム監査の手続きの概要やシステム監査基準をしっかり理解しているかを考査したい
  •   
  • 2.システム監査を行ううえでの深い考えや問題意識、造詣をもっているか考査したい
  •   
  • 3.論述のテーマに沿って、適切な監査を行う能力があるか考査したい

 以上のことをまとめると次のようになります。

        
  • 午後Iは単なる足きりの道具、本番は午後II
  •   
  • 午後Iは、おぼろげな監査基準の理解でも合格できるが、午後IIはしっかり監査基準を 理解していないと合格は難しい
  •   
  • 午後Iは事例に寄り添うように解く、午後IIはテーマを理解し、監査基準に沿いつつ、自分の 考えを書く
午後Iと午後IIの共通点と相違点
相互の共通点

 午後I試験と午後II試験との共通点は次のとおりです。

        
  • 1.小論文にせよ、記述にせよ、テーマに沿って解答しないと合格できない
  •   
  • 2.そのためには、まず問題文の1行目の表題をチェックする
  •   
  • 3.H15年午後I問1は主題が「データセンタの運用のシステム監査」であるから、運用の監査以外のことを書くと 不合格になる。

 極端な話、主題が「データセンタの運用のシステム監査」なら、「企画」「開発」等の監査の話は 設問で聞かれない 限り解答してはいけない。

相互の相違点=監査基準にどこまで準拠するのか=

 監査基準は重要ですが、あまり固執すると合格できないことがあります。

        
  • 1.午後IIでは、自分がしっかり監査基準をしっていることをアピールしたい
  •   
  • 2.監査意見を述べる根拠の監査証跡は、午後Iでは事例のなかに答えがあり、午後IIは 自分で論述する
  •   
  • 3.午後Iでは監査基準の知識の考査ウェイトは低い
(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 18:15

2005年12月27日

2005年12月27日 AU午後I対策その1.1

AU午後I対策 その1.1 =システム管理手順と監査手続き=

Mr.自信ゼロさんから、質問をお受けしました。
この解説の前提条件

 この回答は、 自信ゼロさんへの回答の1回目の続編です。

自信ゼロさんの次なる主張と質問内容の概要
 

自信ゼロさんの質問の概要は次のとおりです。

        
  • 1.監査手続きとしてコントロールのレビューとして→ 帳票や伝票をレビューすればよいことが理解できた
  •   
  • 2.レビュー対象とレビュー漏れの見つけ方が不明→ この思考過程はシステム管理手順のどこに書かれているのか

 要は、午後Iの問題に対する直接的な質問ではなく、監査手続きのよりどころや根拠を 質問されていると私は理解しました。

質問への回答
システム管理基準には求める答えはない

 システム管理基準はどちらかというと、「システム監査のための チェックリスト」と考えると良い。だから、システム管理基準には、 監査手続きのヒントは少ない。すなわち、項目の集合であり、手続きの流れではない

監査手続きのヒントはどこにあるのか

 監査手続きのヒントは情報セキュリティ監査基準に大雑把ですが 掲載されています。「情報セキュリティ監査基準」の実施基準です。 その該当部分を抜き出してみましょう。

【情報セキュリティ監査基準】実施基準
        
  • 2.監査の実施
  •   
  • 2.1 監査証拠の入手と評価
  •   
  •  監査人は、監査計画に基づいて、適切かつ慎重に監査手続きを実施、 保証または助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、 評価しなければならない。

 しかし、これだけでは監査手続きの概要は理解できても詳細な理解は困難である。

監査手続きのマナーはどうやって理解したか

 実は著者は、監査手続きの理解をISO9000の審査員補の資格取得の過程で習得した。 ISO9000は品質保証の手続きの監査であるが、監査を実施するという点ではシステム監査と 手続きは変わらない。以下にシステム監査手続きの規範を示す

【システム監査手続きの規範】
        
  • (1)システム監査人は組織の行動規範を押さえにかかる: 具体的には情報セキュリティポリシや危機管理規定、手続きなどの規範をレビューする
  •   
  • (2)(1)のレビューした内容に基づいて監査すべき項目のチェックリストを作る: 具体的には、①被監査組織、②被監査対象(ソフト、ハード、人員など)、③入出力帳票
  •   
  • (3)(2)で対象を絞り込んだら、(1)の規範に基づいて適切に手続きが進行されているか 証拠を押さえにかかる。:具体的には申請書などの捺印が押されているのかをレビューする。

 すなわち監査とは、組織的にマニュアルどおりに行動しているのかを検証すること である。そのために、次の観点で監査を行う。

【監査の重要な観点】
        
  • (1)組織の規範が存在するか
  •   
  • (2)規範どおしに矛盾がないか
  •   
  • (3)規範どおりに行動した証拠(帳票、伝票)が存在するか

 また、監査人の行動は、事前に立案した監査計画に束縛されることは いうまでもない。

【本日の講義のまとめ】
        
  • (1)監査人は監査計画に基づいて行動する
  •   
  • (2)組織は規範に基づいて行動する
  •   
  • (3)監査人は監査計画に準拠して、組織と規範に矛盾がないかレビューする
  •   
  • (4)組織の行動の適切さは監査証跡によって裏付けられる
  •   
  • (5)監査人の行動の適切さは監査計画と照らし合わせて評価される
  •   
  • 結論:午後Iの問題を読むときは、監査計画書と組織規範に関する記述に注目せよ
(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 20:40

2005年12月24日

AU 午後I 講義その1

AU午後I対策 その1.0 =設問から出題意図を理解する=

まずは設問をみてみよう

 平成15年午後I問1設問1の設問を読むと次のような内容が書かれている。
 設問1 統制目標(1)の監査結果について、次の問いに答えよ。
 (1)監査手続きの実施内容から導いた結論には不適切な点がある。それを45字以内で述べよ。
 (2)統制目標(1)を立証する上で不足している監査手続きを45字以内で述べよ。

解答に歩み寄る手順
設問への正しい反応
 

設問を読んだ後、何を考えるかが重要である。著者であれば、次のように考える。

        
  • 1.まず、統制目標(1)を読んでみる→サーバ室の入退室管理がテーマ
  •   
  • 2.統制目標(1)について、監査手続きの妥当性を吟味する
監査手続きの妥当性の吟味はどのように行うのか

 設問1の(1)をみると、なにやら監査手続きに不備があるらしい。それはどのように 発見したらよいのだろうか。次のことを参考にして考えてみると良い。

【監査手続きの不備の見つけ方】
        
  • 1."入退室管理"の管理手続きのある部分を読む
  •   
  • 2.その部分で実施されているコントロールがすべて監査されているかをチェック

 さて、"入退室管理"の管理手続きのある部分を読むのは良いとして、 そこで実施されているコントロールはどのようにチェックしたらよいだろうか。

コントロールは帳票、伝票をレビューする

 もっとも、抑えやすいのが、監査証跡となる 帳票や伝票だ。これらをしっかり監査人が抑えているかを見ていって、抑えていない部分が 監査手続きに不備があるといえる。平成15年の問題を見てみよう

【入退室管理のコントロール】 ○が監査で確認事項
        
  • (1)作業者は「作業申請書」を作成しセンタ長へ申請する ○
  •   
  • (2)センタ長は「作業申請書」の内容を確認して押印して返却する ○
  •   
  • (3)作業者は作業終了後、作業内容を「作業申請書」に記載してセンタ長に報告、センタ長は押印する

 以上の結果だけを見ると、「監査手続きに不備がある」とは言えない ように思われる。そこで、もう少し読み進めてみる。

【センタ長が行う入退室ログのチェック】 ○が監査で確認事項
        
  • (1)センタ長は総務課から「ログリスト」を受け取り、不振な入退室がないか チェックする ×
  •   
  • (2)以下略、チェックすべき内容

 ここからわかるように、「ログリスト」と「作業申請書」との照合が監査手続きとして不足していること がわかる。ここで重要なことは、以下のとおりである。

【本日の講義のまとめ】
        
  • (1)監査証跡を中心に問題文を追うと良い
  •   
  • (2)監査証跡の妥当性を確保するために、監査証跡どおしの突号を行う必要がある
(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 23:55

2005年12月 5日

12月5日 情報システムに関連する信頼性について

 先日、2005年11月1日に東証の証券売買システムがダウンした。この際に、「 東証の情報システムについての信頼性が損なわれるのではないか」という意見が識者の なかから出された。しかし、それ以外にも東証の情報システムについて問題が提起されている のだという。

東証の情報システムの問題点とその影響
東証の情報システムの問題点

 東証の情報システムについて、新たに問題提起されている点がレスポンス性能の 低さである。日本経済新聞社によると、売買注文を出してから、その「受付通知」が 返信されてくるまでに平均10秒程度かかるというのだ。たとえば米国ナスダックやロンドン 証券市場はこのレスポンスタイムに1~20/100秒程度であるという。
 このように、東証の情報システムの性能は他の証券市場のシステムに比べて 大きく見劣りをする。この点に海外のディーラーは大きな不満をもっているという。

売買取引に影響を与える情報システム性能

 売買取引のレスポンスは他の取引に大きな影響を与える。なぜならディラー達は、 朝一番での売買取引の「受付通知」を確認した後に、次の手段を講じるからである。 その情報の遅延はビジネスチャンスを逃すことにつながるからである。
 このようなディラーの東証システムに対する不信感は、東証に対する注文の抑止につながる。 無論、東証も11月の障害対策としてシステム増強を計画しているらしいが、現在の性能の 120%程度らしく性能問題を放置すると東証の地盤沈下は避けられないかもしれない。

情報システムのあるべき姿
ISO17799にみる情報セキュリティ

 情報セキュリティの国際規格ISO17799では、情報セキュリティの 基準として機密性完全性可用性 を示している。それらの基本的な用件は次のとおりである。

投稿者 suzuki : 16:54

2005年12月 2日

2005年12月2日 不正やデータ改ざんについて

 近年、耐震偽造事件にも見られるように、企業がデータを自社の有利になるように 不正に利用したり改ざんするようなケースが多々見受けられている。新聞を見て得られた 情報を元に考えてみたいと思う。

外食チェーン店の粉飾決算
粉飾決算の顛末と手口

 外食チェーン店の宮では、外部会計監査人の指摘によって粉飾決算が発覚した。これは、 業績不振が明らかになると円滑な資金調達が困難になると考えた経理担当専務の独断に よるものとしている。この結果、同社は専務の解任、鈴木会長兼社長が引責辞任した。その手口は次の通り。

  • 子会社との建設取引の仮装
  • 割引優待券の利用
  • 広告宣伝費の取引業者への付け回し
  • 有形固定資産の架空計上

以上の結果を是正することによって、15億円の損失が計上される見込みだという

粉飾決算についての考察

システム監査試験午後Iにもあるように、データ操作権限のあるものが、その権限を使い データを改ざんするケースがこれにあたる。その目的として、自己の人事考課での評価向上 や給与支給額の不正受給を狙ったものが主として出題される。しかし、このケースでは、 経営層にあるものが会社の企業評価向上を狙って株主や利害関係者を欺いたケースである。 また、最近批判の多かった監査法人が機能した例であるといえる。

※出所:朝日新聞2005年12月1日 「外食チェーン「宮」粉飾決算」

建物構造計算ソフトデータの改ざん
改ざんの手口

 現在、耐震偽造事件が問題になっている。著者の定宿である、松本エースインホテルなども 被害者で営業自粛に追い込まれている。今回、この問題に端を発して、民間検査機関のERIが、 国土交通省が認定する構造計算ソフトに 「データ改ざんに関する脆弱性」があることを指摘 している。改ざんの手口は次のようなものである。

  • 市販の文書編集ソフトを利用する
  • そうすると計算途中のデータ改ざんが可能になる
  • 不正のデータを入力しても「適合」の結果がでる
  • 正規のプログラムを使ったことを示す認定番号も出力される

このような手法をとられると、通常の審査では不正を見ぬくことは難しいという。

データ改ざんについての考察

システム監査試験午後Iにもあるように、アプリケーションソフトの脆弱性、もしくは ソフトで作成されたデータの改ざんによって、本来改ざんされてはならない公的なデータ が改ざんされてしまうことが示されている。
特に、市販のソフトによって改ざんができてしまうことに問題がある。これでは技術力がない 人間にも容易に不正が可能になる。特に耐震データなどは社会インフラに近く、一旦、不正 が発覚した場合の被害や社会的影響は計り知れない。ソフト開発企業は「プログラム自体の 操作改変は困難」といっているようだが、アプリケーションソフトの社会性を考えると 看過できない問題といえる。

※出所:朝日新聞2005年12月1日 「建物構造計算国認定ソフト 日本ERI、欠点を指摘」

投稿者 kitta : 09:37